Академический Документы
Профессиональный Документы
Культура Документы
Цель настоящего документа – предоставить пользователям SWIFT и выполняющим оценку внутренним экспертам
и внешним организациям (далее - оценщики) полное представление о процессе проведения независимой оценки.
Содержание
1 Введение ....................................................................................................................3
1 Введение
Этот документ содержит методику проведения оценки соблюдения положений документа
«Концепция обеспечения безопасности пользователей SWIFT» (SWIFT Customer Security
Controls Framework - CSCF). Он предназначен для поддержки пользователей SWIFT и
оценщиков в выполнении соответствующих обязанностей.
Руководство по безопасности
В случае, если новая версия CSCF не будет выпущена в каком-то году, или для какого-то
определенного пользователя новая версия CSCF не затронет применимые к этому
пользователю элементы контроля / руководство по применению (по внедрению этих
элементов контроля), а также тип его архитектуры, такой пользователь может полагаться на
результаты оценки, проведенной в предыдущем году. Для этого также необходимо, чтобы:
Ожидается, что оценки по требованию SWIFT будут продолжаться до 2019 года и далее,
и с 2020 года они будут отделены от общепринятых сообществом оценок для всех
пользователей, как указано выше.
1 Процесс обеспечения качества (Quality Assurance - QA) по Программе безопасности пользователей (Customer Security
Programme - CSP) предназначен для обеспечения как количественного понимания, так и качественного подтверждения
активностей, связанных с аттестациями пользователей и консультациями по этому вопросу с контрагентами.
2 SWIFTожидает, что только некоторые пользователи - как правило, те, кто имеет высокий уровень зрелости процесса
управления рисками нарушения информационной безопасности в своей организации - рассмотрят альтернативные
маршруты внедрения одного или нескольких элементов контроля.
Оценка должна подтвердить выбранный тип архитектуры и охватить все рабочие среды,
среды резервного копирования и восстановления после отказа (если применимо), в
которых размещаются любые из вышеперечисленных систем, операторов или устройств.
После того, как область применения будет установлена, сроки оценки могут быть
определены таким образом, чтобы гарантировать своевременное предоставление отчета,
что позволит пользователю передать соответствующие данные своей самоаттестации в
приложение KYC-SA в рамках обычного периода проведения аттестации с 1 июля до конца
года - 31 декабря. Таким образом, планирование должно включать в себя время,
необходимое оценщику для документирования выводов, связанных со всеми элементами
контроля, входящими в область применения, а также для подготовки отчетов и других
результатов, которые должны быть представлены пользователю по завершении оценки.
4 Подход оценки
SWIFT выбрал метод оценки, а не аудита для обеспечения выполнения требований
документа CSCF. В подтверждении этого SWIFT намеревается позволить пользователям
выбирать из самого широкого круга поставщиков услуг по оценке, включая тех, кто не
обязательно отвечает требованиям в привычном понимании аудито-ориентированной
организации, но которые, тем не менее, являются независимыми и достаточно
квалифицированными организациями для выполнения оценок по соблюдению требований
кибербезопасности (см. Раздел 6 для получения дополнительной информации).
3 Пример исключения: 5.3 – "Процесс проверки персонала" будет рассматривать ретроспективные процедуры
SWIFT предоставляет эти шаблоны для использования оценщиками при сборе сведений
и фиксации результатов оценок. Существуют отдельные шаблоны, которые могут быть
использованы для обязательных и рекомендуемых наборов элементов контроля из CSCF.
6 Методология тестирования
SWIFT не предоставляет "набор готовых сценариев тестирования" для использования в
процессе оценки. Оценщики несут полную ответственность за определение собственного
подхода к разработке сценариев тестирования и проведению мероприятий по оценке в
соответствии с лучшими отраслевыми практиками. В качестве общего руководства ниже
приводятся возможные методологии тестирования.
Опрос
Проведение интервью с соответствующим персоналом может дать представление об
осведомленности об элементах контроля и фактических происходящих в организации
процессах и процедурах, что может способствовать повышению общего уровня гарантии
(в отношении рисков).
Наблюдение
Уровень гарантии определяется в результате непосредственного наблюдения за
существованием конкретных элементов контроля.
Проверка документации
Уровень гарантии определяется путем проверки документов и записей. Одним из самых
основных методов оценки реализации элементов контроля безопасности является проверка
применяемых пользователем документов, таких как политики, стандарты, процессы,
процедуры и инструкции по выполнению. Проверка документации является относительно
простым методом сбора информации об оценке, поскольку он не оказывает существенного
влияния на нормальное функционирование бизнеса. Впрочем, степень гарантии, достигаемая
этим методом, ограничена, поскольку он не обязательно обеспечивает правильное
представление фактических системных настроек, сетевых конфигураций, действий персонала
и других потенциально представляющих интерес методов работы.
Перепроверка системы
Контролируемая повторная проверка работоспособности системы и сбор образцов
доказательств работоспособности могут обеспечить дополнительные уровни гарантии.
Этот метод лучше всего использовать в случае технических средств контроля, где
непосредственное понимание системных настроек и конфигураций является полезным.
Доказательства, собранные в результате тестирования системы, часто представляют
собой скриншоты и / или данные, извлеченные из применяемых систем и компонентов
инфраструктуры.
В тех случаях, когда для какой-либо работы привлекается сторонний поставщик услуг,
оценщики должны:
Принимая во внимание тип архитектуры пользователя, идентифицировать те
компоненты инфраструктуры в области применения, которые обычно находятся у
пользователя, но в настоящее время управляются или контролируются поставщиком.
Для каждого элемента контроля определить, требуется ли доказательства от
пользователя, поставщика или от обоих, необходимые для подтверждения
выполнения основной цели элемента контроля.
Обсудить с пользователем, могут ли они работать непосредственно с поставщиком
для выполнения тестовых кейсов, связанных с элементами контроля, или вместо этого
им нужно полагаться на пользователя, который будет выступать в качестве
посредника при сборе всех необходимых сведений о реализации элементов контроля.
В любом случае оценщики должны проявлять должную осмотрительность в
обеспечении того, чтобы все элементы контроля из CSCF, применимые к
пользователям, были надлежащим образом оценены и получены надлежащие уровни
гарантий.
Если доказательства от поставщика принимают форму отчета, полученного в
результате уже проведенной внешней проверки (например, отчета ISAE 3000 или
отчета AICPA SOC2), оценщик должен определить вместе с пользователем, является
ли он достаточно свежим, чтобы считать его актуальным, и четко сопоставить с теми
компонентами, которые имеют отношение к области применения оценки пользователя
в рамках CSP. Любые пробелы в охвате потребуют отдельного подтверждения
соблюдения.
7 Результаты оценки
В следующем разделе приведены рекомендуемые (необязательные) и обязательные
результаты для оценщиков.
Поэтому для всех типов оценки при планировании сроков ее проведения и связанной с
ней самоаттестации в KYC-SA пользователи должны учитывать следующее:
9 Словарь терминов
Термин / Определение
Сокращение
CA Chartered Accountant - Дипломированный бухгалтер-эксперт
CISA Certified Information Systems Auditor - Сертифицированный аудитор
информационных систем
CISM Certified Information Security Manager - Сертифицированный
менеджер по информационной безопасности
CISSP Certified Information Systems Security Professional -
Сертифицированный специалист по безопасности
информационных систем
CPA Certified Public Accountant - Сертифицированный специалист в
области финансового учёта, сертифицированный аудитор
CSCF Customer Security Controls Framework - Концепция обеспечения
безопасности пользователей
CSP Customer Security Programme - Программа безопасности
пользователей
HSM Hardware Security Module - Аппаратный модуль безопасности
IIA Institute of Internal Auditors - Институт внутренних аудиторов
ISO International Organization for Standardization - Международная
организация по стандартизации
ISP Internet Service Provider - Поставщик услуг интернета
KYC-SA Know Your Customer, Знай своего клиента - приложение по
аттестации безопасности на базе платформы KYC Registry
PCI DSS Payment Card Industry Data Security Standard - стандарт
безопасности данных индустрии платежных карт
QSA Qualified Security Assessor - Квалифицированный оценщик по
безопасности
SNL SWIFTNet Link
10 Официальное уведомление
Авторские права
Конфиденциальность
Отказ от ответственности
Перевод
Торговые марки